首页 爱情文章 亲情文章 友情文章 生活随笔 校园文章 经典文章 人生哲理 励志文章 搞笑文章 心情日记
  • 爱情文章
  • 亲情文章
  • 友情文章
  • 生活随笔
  • 校园文章
  • 经典文章
  • 人生哲理
  • 励志文章
  • 搞笑文章
  • 心情日记
  • 英语文章
  • 范文大全
  • 作文大全
  • 新闻阅读
    •
    当前位置: 山茶花美文网 > 搞笑文章 > 正文

    PHP永久登录、记住我功能实现方法和安全做法 登录功能的实现

    时间:2020-05-22来源:山茶花美文网 本文已影响 山茶花美文网手机站

    PHP永久登录、记住我功能实现方法和安全做法

    这篇文章主要介绍了PHP永久登录、记住我功能实现方法和安全做法,本文着重讲解用数据库实现更安全的永久登录、记住我功能,需要的朋友可以参考下

    永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。

    据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。

    不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。

    永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。

    第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。

    为避免使用用户的密码,可以建立一个只供一次验证有效的标识:

    代码如下:

    $token = md5(uniqid(rand(), TRUE));

    ?>

    你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。

    由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。

    代码如下:

    mysql> DESCRIBE users;

    +------------+------------------+------+-----+---------+-------+

    | Field | Type | Null | Key | Default | Extra |

    +------------+------------------+------+-----+---------+-------+

    | username | varchar(25) | | PRI | | |

    | password | varchar(32) | YES | | NULL | |

    | identifier | varchar(32) | YES | MUL | NULL | |

    | token | varchar(32) | YES | | NULL | |

    | timeout | int(10) unsigned | YES | | NULL | |

    +------------+------------------+------+-----+---------+-------+

    通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。

    代码如下:

    $salt = "SHIFLETT";

    $identifier = md5($salt . md5($username . $salt));

    $token = md5(uniqid(rand(), TRUE));

    $timeout = time() + 60 * 60 * 24 * 7;

    setcookie("auth", "$identifier:$token", $timeout);

    ?>

    当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:

    代码如下:

    /* mysql_connect() */

    /* mysql_select_db() */

    $clean = array();

    $mysql = array();

    $now = time();

    $salt = "SHIFLETT";

    list($identifier, $token) = explode(":", $_COOKIE["auth"]);

    if (ctype_alnum($identifier) && ctype_alnum($token))

    {

    $clean["identifier"] = $identifier;

    $clean["token"] = $token;

    }

    else

    {

    /* ... */

    }

    $mysql["identifier"] = mysql_real_escape_string($clean["identifier"]);

    $sql = "SELECT username, token, timeout

    FROM users

    WHERE identifier = "{$mysql["identifier"]}"";

    if ($result = mysql_query($sql))

    {

    if (mysql_num_rows($result))

    {

    $record = mysql_fetch_assoc($result);

    if ($clean["token"] != $record["token"])

    {

    /* Failed Login (wrong token) */

    }

    elseif ($now > $record["timeout"])

    {

    /* Failed Login (timeout) */

    }

    elseif ($clean["identifier"] !=

    md5($salt . md5($record["username"] . $salt)))

    {

    /* Failed Login (invalid identifier) */

    }

    else

    {

    /* Successful Login */

    }

    }

    else

    {

    /* Failed Login (invalid identifier) */

    }

    }

    else

    {

    /* Error */

    }

    ?>

    你应该坚持从三个方面来限制永久登录cookie的使用。

    1.Cookie需在一周内(或更少)过期

    2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)

    3.在服务器端限定cookie在一周(或更少)时间内过期

    如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。

    另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

    最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:

    复制代码 代码如下:

    setcookie("auth", "DELETED!", time());

    ?>

    上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。

    • PHP永久登录、记住我功能实现方法和安全做法 登录功能的实现 相关文章:
    • 爱情文章
    • 亲情文章
    • 友情文章
    • 随笔
    • 哲理
    • 励志
    • 范文大全

    最新文章

    热点文章

    推荐访问

    军训远足心得体会 军训爬山心得体会 大学军训徒步拉练感想 军训徒步作文 军训徒步10公里感想 军训徒步心得体会 5分钟演讲中秋节节日 中秋一分钟演讲 中秋节演讲稿4分钟 中秋节演讲稿一分钟 中秋节演讲稿五分钟 3-5分钟 中秋节短篇演讲稿 中秋节演讲稿两分钟 中秋节的演讲稿3分钟 关于中秋节的演讲稿三分钟 孩子体验军训的心得 参加孩子军训活动的感受与收获 家长对孩子军训后的收获和感悟 小孩军训的收获与感悟 学生军训的收获与感悟 孩子军训成长过程家长感悟 孩子军训感悟 孩子军训心得体会 孩子军训的收获与感悟 兵役前训练心得体会 部队当兵的心得 新兵役前教育训练心得体会 预备役军训心得体会 新兵军训感悟

    本文PHP永久登录、记住我功能实现方法和安全做法 登录功能的实现由山茶花美文网整理提供,版权归原作者、原出处所有。

    Copyright © 山茶花美文网 All Rights Reserved.